「この投資詐欺、freeeから漏れた情報を悪用してるかも」──そのとき、社員はどう動く 同社のセキュリティ訓練が再び

　闇バイトや投資詐欺の脅威が頻繁に取り沙汰される昨今。サイバー攻撃や内部不正、不手際によって自社から情報が漏れるのも怖いが、一連の犯罪に悪用される事態はさらに恐ろしい。「弊社をかたる詐欺を確認したのだが、御社から漏れた情報を使っているんじゃないか？」──いま、企業が一番聞きたくない言葉の一つだだろう。

　一方で、これに近い事態を想定したセキュリティ訓練を社内で実施し、万一に備える企業もある。クラウド型会計・人事サービスを提供するフリー（freee）だ。過去にも報じてきた通り、freeeでは2018年10月に発生した大規模障害を風化させないため、毎年10月に全社的な障害訓練を実施してきた。

参考記事：「うちの情報、freeeから漏れたんじゃないんですか？」　顧客から問い合わせ殺到──したらどうする？　freeeが再び全社訓練

自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏　「従業員はトラウマに」

　過去には「ランサムウェア感染」「脆弱性を突かれての情報漏えい事故」を模した訓練も行われたが、24年は漏えいした情報が悪用された可能性が同時多発的に浮上したとき、社内で適切に連携できるかどうかがテーマになった。

●「投資詐欺を確認」複数件、結び付けられるか？　訓練の全体像

　freeeは過去の訓練でも、顧客の苦情を受け付けたコールセンターや、報道陣から問い合わせを受けた広報室など、複数の部署を巻き込んだシナリオでの訓練を実施してきた。今回はさらに深掘りし、インシデント対応やシステム開発・運用の部署ではなく、ビジネス組織を起点とした連携をテーマにしてシナリオを作成したという。

　大まかな流れはこうだ。ある日、コールセンターに顧客A氏から「税理士の名前をかたった投資詐欺に遭ってしまいました。freeeさんにもちょっと調査を手伝ってもらえませんか？」と連絡が入った。

　それとほぼ時を同じくして、別の窓口にはB税理士法人から問い合わせが入った。「自分の会社の情報を用いて、偽の投資話を持ちかけるディープフェイクの動画が作られている。どういうことだろう」

　全く無関係に見える2つの問い合わせだが、実は同じ原因に端を発していた。ずさんな管理がされていた個人情報を、業務委託をしていた人物が持ち出し、漏えいしてしまったのだ。しかもその情報は詐欺グループの手に渡ってしまい、税理士をかたって詐欺を持ちかけるディープフェイクが作られ、被害者が出てしまった──という構図だ。